Anzeige
In Drupal 7 ist eine schwere Sicherheitslücke.
In Drupal 7 ist eine schwere Sicherheitslücke. (Bild: Drupal)

Security: Schwere Sicherheitslücke in Drupal 7

Im Content-Management-System Drupal 7 ist eine schwere Sicherheitslücke, über die sich Angreifer Zugriff auf eine gesamte Webseite verschaffen können. Die Lücke ist in der API, die solche Angriffe eigentlich verhindern soll. Ein Update gibt es bereits.

Anzeige

Im weit verbreiteten Open-Source-CMS Drupal 7 ist eine schwere Sicherheitslücke, die es Angreifern erlaubt, ohne Authentifizierung die Kontrolle über das gesamte CMS zu erhalten. Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in der Abstraktions-API ist, die solche Angriffe eigentlich verhindern soll. Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt. Erst ein externes Sicherheitsunternehmen erkannte deren Brisanz.

Laut dem deutschen Sicherheitsunternehmen SektionEins lassen sich beliebige SQL-Eingaben ohne Authentifizierung über die Schwachstelle absetzen. Damit ließe sich die hinter der Abstraktions-API liegende Datenbank abfragen und manipulieren. Damit sind unter Umständen auch Benutzerdaten zugänglich, die auf die Webseite zugreifen. Es lässt sich aber auch PHP-Code einschleusen oder weitere Angriffe fahren. So könnte eine Webseite mit Malware infiziert werden, die über den Webbrowser eines Benutzers weitere Rechner infizieren könnte.

Brisanterweise existiert die Lücke in Drupal 7 wohl schon seit Monaten. Zumindest wurde sie im November 2013 ins Ticketsystem des CMS eingetragen. Allerdings erkannten die Entwickler dort nicht, wie gravierend die Schwachstelle ist. Erst als SektionEins Mitte September 2014 Alarm schlug, schlossen die Drupal-Entwickler die Schwachstelle. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat. Drupal ist recht weit verbreitet, Experten gehen davon aus dass die Software von etwa 900.000 Webseiten genutzt wird.


eye home zur Startseite
C_Logemann 19. Apr 2015

Gerade die Mitte Oktober 2014 geschlossene Sicherheitslücke konnte massiv ausgenutzt...

SvenK. 17. Okt 2014

Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen...

jt (Golem.de) 16. Okt 2014

Örks. Ein Zahlendreher. Danke für das Feedback.

Kommentieren



Anzeige

  1. Senior IT Architect / Solution Architect (m/w) Security Application Operation
    Daimler AG, Stuttgart
  2. IT-Entwickler (m/w) mit Spezialisierung SAP-Rechnungswesen
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  3. IT-Netzwerkadministrator (m/w)
    SYNLAB Holding Deutschland GmbH, Leverkusen
  4. Netzwerk Spezialist, Schwerpunkt WLAN (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Services

    HP Enterprise gründet weiteren Konzernteil aus

  2. Toshiba OCZ RD400

    Schnelle Consumer-M.2-SSD mit Extender-Karte

  3. Hyperloop

    HTT will seine Rohrpostzüge aus Marvel-Material bauen

  4. Smartwatches

    Pebble 2 und Pebble Time 2 mit Pulsmesser

  5. Kickstarter

    Pebble Core als GPS-Anhänger für Hacker und Sportler

  6. Virtual Reality

    Facebook kauft Two Big Ears für 360-Grad-Sound

  7. Wirtschaftsminister Olaf Lies

    Beirat der Bundesnetzagentur gegen exklusives Vectoring

  8. Smartphone-Betriebssystem

    Microsoft verliert stark gegenüber Google und Apple

  9. Onlinehandel

    Amazon startet eigenen Paketdienst in Berlin

  10. Pastejacking im Browser

    Codeausführung per Copy and Paste



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Doom im Technik-Test: Im Nightmare-Mode erzittert die Grafikkarte
Doom im Technik-Test
Im Nightmare-Mode erzittert die Grafikkarte
  1. Blackroom John Romero und das Shooter-Holodeck
  2. Doom Hölle für alle
  3. Doom Bericht aus der Bunnyhopping-Hölle

Oxford Nanopore: Das Internet der lebenden Dinge
Oxford Nanopore
Das Internet der lebenden Dinge
  1. Wie Glas Forscher machen Holz transparent
  2. Smartwatch Skintrack macht den Arm zum Touchpad
  3. Niederschläge Die Vereinigten Arabischen Emirate wollen einen Berg

  1. familien manu ...

    Moe479 | 07:03

  2. Re: ein opensource windows ...

    Serenity | 07:01

  3. Einfach abmelden. Hab' ich auch gemacht.

    limasign | 06:59

  4. Re: Notausstieg möglich ?

    M.P. | 06:56

  5. Re: Ja und bei mir im Garten wächst Adamatium.

    M.P. | 06:52


  1. 07:21

  2. 07:14

  3. 19:01

  4. 18:03

  5. 17:17

  6. 17:03

  7. 16:58

  8. 14:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel